Шкідливе програмне забезпечення EtherRAT
Вважається, що нещодавно виявлена кампанія зловмисних програм, пов'язана з північнокорейськими операторами, використовує критичну вразливість React2Shell (RSC) для розгортання раніше невидимого трояна віддаленого доступу, відомого як EtherRAT. Це шкідливе програмне забезпечення вирізняється тим, що інтегрує смарт-контракти Ethereum у свій робочий процес Command-and-Control (C2), встановлює кілька рівнів персистентності в Linux та об'єднує власне середовище виконання Node.js під час розгортання.
Зміст
Посилання на поточні операції «Заразне інтерв'ю»
Команди безпеки виявили значну схожість між активністю EtherRAT та тривалою кампанією під назвою Contagious Interview, серією атак, яка триває з початку 2025 року та використовує техніку EtherHiding для доставки шкідливого програмного забезпечення.
Ці операції зазвичай спрямовані на розробників блокчейну та Web3, маскуючи зловмисні наміри за сфабрикованими співбесідами, тестами кодування та відеооцінюванням. Жертви зазвичай отримують контакт через такі платформи, як LinkedIn, Upwork та Fiverr, де зловмисники видають себе за законних рекрутерів, пропонуючи високоцінні вакансії.
Дослідники зазначають, що цей кластер загроз став однією з найпродуктивніших шкідливих сил в екосистемі npm, демонструючи свою майстерність у проникненні в ланцюги поставок на основі JavaScript та криптоорієнтовані робочі процеси.
Початкове порушення: Експлуатація React2Shell
Послідовність атаки починається з використання CVE‑2025‑55182, критичної вразливості RSC з ідеальним показником серйозності 10. Використовуючи цю вразливість, зловмисники виконують команду в кодуванні Base64, яка завантажує та запускає скрипт оболонки, відповідальний за ініціювання основного імплантату JavaScript.
Скрипт отримується через curl, а wget та python3 діють як методи резервного копіювання. Перед запуском основного корисного навантаження він готує систему, отримуючи Node.js v20.10.0 безпосередньо з nodejs.org, потім записує на диск як зашифрований блоб даних, так і прихований JavaScript-дроппер. Щоб обмежити сліди експертизи, скрипт очищає за собою після завершення налаштування та передає керування дропперу.
Розробка EtherRAT: шифрування, виконання та смарт-контракт C2
Основна функція дроппера проста: розшифрувати корисне навантаження EtherRAT за допомогою жорстко закодованого ключа та запустити його за допомогою щойно завантаженого бінарного файлу Node.js.
Видатною особливістю EtherRAT є його залежність від EtherHiding, методу, який отримує адресу сервера C2 зі смарт-контракту Ethereum кожні п'ять хвилин. Це дозволяє операторам оновлювати інфраструктуру на льоту, навіть якщо захисники порушують роботу існуючих доменів.
Унікальною родзинкою цієї реалізації є система голосування на основі консенсусу. EtherRAT одночасно запитує дев'ять публічних кінцевих точок RPC Ethereum, збирає результати та довіряє URL-адресі C2, повернутій більшістю. Такий підхід нейтралізує кілька захисних стратегій, гарантуючи, що одна скомпрометована або зманіпульована кінцева точка RPC не зможе ввести в оману або створити прогалину для ботнету.
Раніше дослідники виявили подібну техніку у шкідливих npm-пакетах colortoolsv2 та mimelib2, які використовувалися для розповсюдження компонентів завантажувача розробникам.
Опитування високочастотних команд та багатошарова збереженість
Після встановлення зв'язку зі своїм C2-сервером, EtherRAT входить у швидкий цикл опитування, який виконується кожні 500 мілісекунд. Будь-яка відповідь, що перевищує десять символів, інтерпретується як JavaScript та миттєво виконується на скомпрометованій системі.
Довгостроковий доступ підтримується за допомогою п'яти методів збереження, що підвищує надійність у різних процесах запуску Linux:
Методи стійкості:
- Служба користувачів Systemd
- Вхід автозапуску XDG
- Cron-завдання
- Модифікація .bashrc
- Ін'єкція профілю
Поширюючись кількома шляхами виконання, шкідливе програмне забезпечення продовжує працювати навіть після перезавантаження, забезпечуючи безперебійний доступ для операторів.
Можливості самооновлення та стратегія обфускації
EtherRAT включає складний процес оновлення: він надсилає власний вихідний код до кінцевої точки API, отримує модифіковану версію від сервера C2 та перезапускається з цією новою варіантою. Хоча оновлення функціонально ідентичне, повернене корисне навантаження обфускується по-іншому, що допомагає імплантату уникнути методів виявлення статичної електрики.
Код перетинається з попередніми сімействами загроз JavaScript
Подальший аналіз показує, що частини зашифрованого завантажувача EtherRAT мають спільні шаблони з BeaverTail, відомим завантажувачем на основі JavaScript та викрадачем інформації, який використовується в операціях Contagious Interview. Це підтверджує думку про те, що EtherRAT є або прямим наступником, або розширенням інструментарію, що використовувався в цій кампанії.
Наслідки для захисників: перехід до скритності та наполегливості
EtherRAT демонструє значну еволюцію в експлуатації React2Shell. Замість того, щоб зосереджуватися виключно на опортуністичних діях, таких як криптомайнінг або крадіжка облікових даних, цей імплантат надає пріоритет прихованому, довгостроковому доступу. Його поєднання операцій C2 на основі смарт-контрактів, перевірки кінцевих точок на основі консенсусу, кількох рівнів персистентності та постійного самообфускації створює серйозний виклик для захисників.
Ключові висновки для команд безпеки
Команди безпеки повинні враховувати, що EtherRAT являє собою значну ескалацію експлуатації RSC, перетворюючи його на стійку та дуже адаптивну загрозу, здатну підтримувати довгострокові вторгнення. Його інфраструктура командування та управління є особливо стійкою, використовуючи смарт-контракти Ethereum та механізм консенсусу на кількох кінцевих точках, щоб протистояти спробам злому, блокуванню та маніпуляціям окремими кінцевими точками. Крім того, тісний зв'язок шкідливого програмного забезпечення з кампанією Contagious Interview підкреслює постійну зосередженість на цінних цілях розробників, підкреслюючи необхідність підвищеної пильності в спільнотах розробників блокчейну та Web3.
